開發環境下如何進行安全加固呢
作者:不良帥的江湖
對很多互聯網公司而言開發一個應用需要經歷很多環節的測試,這個環節中不可缺少的就是多樣環境,像我們公司分為開發環境、測試環境、預發布環境、生產環境;其中開發和測試環境我們還是部署在公司機房內,預發布和生產部署在阿里云。
由于公司機房和辦公環境是在一起的,默認情況下公司出口IP是禁止80/443訪問【運營商側有限制】。目前采用的是阿里云進行中轉,即將開發環境的域名解析到阿里云,然后通過Nginx反向代理到公司出口非80端口。開發環境部分接口涉及到第三方回調和校驗,所以完全禁止開發環境對外網訪問不現實。
目前合理的需求如下:
- 公司網絡地址段可以訪問開發環境不受限制
- 允許部分第三方IP地址段加入白名單
- 若第三方IP不固定,需支持第三方回調的URL加入白名單
- 不在上述條件內全部禁止外網訪問。
面對上述簡單的需求場景,我們如何實現呢?
方案一:采用防火墻白名單策略進行實現,目前看只能實現 1 和 2 的條件
方案二:采用Nginx的allow、deny等策略,目前看也只能實現 1 和 2 的條件
方案三:采用Nginx+Lua 通過access_by_lua_file策略,目前看能實現上述所有條件而且實現起來比較簡單,改造成本較小。
- 在Nginx的server層配置:access_by_lua_file 'scripts/filter_white.lua'
- filter_white.lua 腳本配置信息:
- root@develop:/usr/local/nginx/scripts# cat filter_white.lua
- -- 默認配置
- local redis = require 'resty.redis'
- local allow = false
- -- 連接Redis
- local red = redis:new()
- local ok, err = red:connect('172.17.173.183', 26379)
- if not ok then
- ngx.log(ngx.ERR, 'connect to redis failed: ' .. err)
- end
- local res, err = red:auth('Huajianghu@123')
- if not res then
- ngx.log(ngx.ERR, 'failed to authenticate: ' .. err)
- end
- -- 過濾精確IP
- --if red:sismember('white:dev:ip', ngx.var.remote_addr) == 1 then
- -- allow = true
- --end
- -- 過濾IP地址段
- local iputils = require("resty.iputils")
- iputils.enable_lrucache()
- local white_ips =red:smembers('white:dev:ip')
- local whitelist = iputils.parse_cidrs(white_ips)
- if iputils.ip_in_cidrs(ngx.var.remote_addr, whitelist) then
- allow = true
- end
- -- 過濾URL
- if not allow then
- local url = ngx.var.http_host .. ngx.var.uri
- local white_urls = red:smembers('white:dev:url')
- for index, white_url in ipairs(white_urls) do
- if url:match(white_url) then
- allow = true
- break
- end
- end
- end
- -- 默認策略
- if not allow then
- ngx.log(ngx.ERR, "not allow: " .. ngx.var.http_host .. ngx.var.uri)
- ngx.status = ngx.HTTP_FORBIDDEN
- ngx.say('請申請白名單')
- ngx.exit(200)
- end
3.此腳本僅供參考使用,特殊場景需要進行修改lua腳本。
責任編輯:華軒
來源:
今日頭條
